记录一次突破区块链交易所后台双因素认证

最近做项目的时候，遇到一个区块链交易所，从渗透这块走估计挺难，所以花了不少时间，打入敌人内部获取了不少信息，通过观察发现几个疑似管理员，在微信群里深入交流之后，获取了不少电话和QQ账号。

给大家po一张手工写的一些重要信息，全部打码了，整整两张A4纸，请大家忽略我这一手的草书，谢谢！

这里重点讲如何突破的，在获取到信息之后，结合区块链网站信息，居然没有找到后台，在经过一段时间的排查，通过ICO图标找到了一个关联域名，很有意思的是，后台是个独立域名，和该区块链交易所的域名没有实质性的关联。

后台界面是这样的。

随便输入一个账户显示：

由此可以判断用户存在与否，后来试了各种用户名字典，都没有，在这里还有一点，爆破超过50次以后，所以发送的数据包都会失败，呜呜呜。。

于是猜测，管理员用户名应该是电话号码，经过后面测试，QQ邮箱也是用户名的登录范围。

对前面收集手机号，QQ邮箱等信息进行整理，顺带对QQ号的关联手机号进行查询，最后获取到了一组，手机号+邮箱的组合。

尝试登录，用户名存在后会显示：

经过尝试，QQ邮箱与手机号都可以登录该后台，但是，QQ邮箱需要邮箱验证码，手机号码需要谷歌验证码，注意，在这里，我通过社工，在历史密码中尝试出了登录密码。

谷歌验证码，这种双因素认证我是没办法了，除非去把他手机偷过来，所以，只能通过QQ邮箱验证码试试了，没办法，只能是智慧黑客，在线盗号了。

运气王就是这样，利用刚刚登陆后台的密码，在360极速浏览器尝试登录QQ邮箱，显示网络环境存在风险？不是密码错误吗？感觉是对的。

然后想到一个问题，异地登录不行，最后通过在线沟通，利用火绒剑，在微信弹语音的方式，获取了该人的登录IP，查看位置，显示在深圳。

好家伙，这还能有假？直接上个深圳的代理。

设置代理之后发现还是一样的，网络环境有问题，突然想到，可能是同浏览器的问题，于是呼，换了一个深圳的IP，换了一个谷歌浏览器登录邮箱，这次又不一样了。

手机号和QQ都关联上了，但是，你TM这不是在为难我胖虎？要逼我过去深圳偷手机才行么？

当然了，办法还是要想的，期间尝试了登陆QQ，但是需要手机扫描二维码，所以放弃，既然不行，那就在换个IP，在换个浏览器，直接拉入了EDGE浏览器。

瞧瞧这可爱的大宝贝，居然成功登录了。

最后顺手发送验证：